Videokonferenzsystem Datenschutz
Videokonferenzsystem Datenschutz
Verschlüsselung
Videokonferenzsysteme müssen eine Verschlüsselung nach dem Stand der Technik implementieren.
Für die Übertragung von Videokonferenzdaten ist mindestens eine Transportverschlüsselung entsprechend den einschlägigen Technischen Richtlinien des BSI erforderlich. Die Transportverschlüsselung muss die Vertraulichkeit, Integrität und Authentizität aller übertragenen Daten gewährleisten, der Inhaltsdaten wie auch der Metadaten. Dies verhindert, dass Dritte, die passiv die Kommunikation abhören, Zugriff auf die Inhalte erhalten.
Hinweise zur praktischen Nutzung
Rahmenbedingungen
Technische Anforderungen
Das Videokonferenzsystem ist gemäß Art. 24, 25, 32 DS-GVO durch Auswahl und Umsetzung geeigneter technischer und organisatorischer Maßnahmen so einzurichten, dass es den Anforderungen der DS-GVO an die Verarbeitung personenbezogener Daten genügt.
Videokonferenzen über einen Online Dienst
Anstatt das Videokonferenzsystem selbst zu betreiben oder von einem Dienstleister nach eigenen Vorstellungen betreiben zu lassen, gibt es also auch die Möglichkeit, bestehende Online-Dienste zu verwenden. Für die Entscheidung für einen Online-Dienst spricht zunächst die einfache Bereitstellung des angebotenen Videokonferenzsystem. Der Verantwortliche schließt in diesem Fall einen Vertrag mit dem Anbieter. Hier beginnt die Aufgabe des Verantwortlichen, sich in die Lage zu bringen, den Online-Dienst vollständig zu kontrollieren, um seinen Pflichten nach der DS-GVO nachzukommen und deren Erfüllung auch belegen zu können (Rechenschaftspflicht Art. 5 Abs. 2 DS-GVO).
Drittstaaten-Transfer
Verarbeitet das Videokonferenzsystem die Daten der Nutzer nicht nur in Deutschland und Europa, sondern kommt es dabei zu sog. Drittstaaten-Transfers von personenbezogenen Daten, so ist in Folge einer Entscheidung des Europäischen Gerichtshofs (EuGH-Entscheidung zum Privacy Shield) besondere Vorsicht geboten. Insbesondere ist die Nutzung von Videokonferenzprodukten US-amerikanischer Anbieter sorgfältig zu prüfen. Dies gilt auch, wenn der Vertragspartner eine europäische Tochtergesellschaft ist. Das gleiche gilt für europäische Anbieter, sofern sie ihrerseits personenbezogene Daten in die USA übermitteln.
Auftragsverarbeitung mit Auftragsverarbeitungsvertrag
Bei dem Einsatz eines von einem Anbieter betriebenen Online-Dienstes ist ein Vertrag nach Art. 28 DS-GVO abzuschließen; dabei sind verschiedene Punkte zu beachten.
Data Protection by Default
Videokonferenzsysteme müssen die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen erfüllen (Art. 25 DS-GVO). So müssen im Sinne der Datensparsamkeit jedenfalls die Kamera, das Mikrofon und das Teilen des Bildschirms von Teilnehmern vor Eintritt in die Konferenz standardmäßig ausgeschaltet sein. Dasselbe gilt für die Aufnahmefunktion eines Videokonferenzsystem. Darüber hinaus muss das Videokonferenzsystem so gestaltet sein, dass nur der jeweilige Teilnehmer über das Einschalten seines Mikrofons und Bildes entscheiden kann. Zentrales Abschalten von Ton und Bild ist allerdings möglich.
Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
Artikel 13 DSGVO – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Der Hinweis in der Einladungs email zum Online Meeting muss jedoch unmittelbar bei der Dateneingabe gut erkennbar sein: „Zur Durchführung des Online-Meetings mit „………………“ werden Ihre Daten im Rahmen unserer Datenschutzerklärung verarbeitet.“ (Datenschutzerklärung als Link). Ggf. noch den Hinweis: den Termin bitte bestätigen.
Sind die Hausaufgaben gemäß DSGVO gemacht?
Artikel 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten
https://dsgvo-gesetz.de/art-30-dsgvo/
Artikel 35 DSGVO – Datenschutz-Folgenabschätzung
https://dsgvo-gesetz.de/art-35-dsgvo/
Wer ist Verantwortlicher der Datenverarbeitung?
Artikel 4 DSGVO – Begriffsbestimmungen
https://dsgvo-gesetz.de/art-4-dsgvo/
Die Bestimmung der Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung EU-DSGVO wird hier beschrieben:
https://www.datenschutzbeauftragter-info.de/bestimmung-der-verantwortlichkeit-im-sinne-der-dsgvo/